四)程式及資料之存取控制。.ppt

? 2000 Arthur Andersen All rights reserved. 大綱 公開發行公司建立內部控制制度處理準則─資訊處理循環 公開發行公司建立內部控制制度處理準則─資訊處理循環 公開發行公司使用電腦化資訊系統處理者，其內部控制制度除資訊部門與使用者部門應明確劃分權責外，至少應包括下列控制作業： 一、資訊處理部門之功能及職責劃分 二、系統開發及程式修改之控制 三、編製系統文書之控制 四、程式及資料之存取控制 五、資料輸出入之控制 六、資料處理之控制 公開發行公司建立內部控制制度處理準則─資訊處理循環（續） 公開發行公司使用電腦化資訊系統處理者，其內部控制制度除資訊部門與使用者部門應明確劃分權責外，至少應包括下列控制作業： 七　、檔案及設備之安全控制 八　、硬體及系統軟體之購置、使用及維護之控制 九　、系統復原計畫制度及測試程序之控制 十　、資通安全檢查之控制。 十一、向證期會指定網站進行公開資訊申報相關作業之控制 法令的架構 控制定義 資訊部門與使用者部門之職責劃分 資訊處理部門之功能及職責劃分 系統開發及程式修改之控制System Develop Life Cycle (SDLC) 編製系統文書之控制 程式及資料之存取控制 檔案及設備之安全控制（續） 主機（實體）之安全存取控制 機房及門禁管制之設置 獨立上鎖之機櫃 主機之安全防護措施 滅火設備、不斷電系統、獨立空調、防毒軟體 檔案及設備之安全控制（續） 檔案之安全存取控制 主機之邏輯存取安全（原始碼、執行碼、資料） 備份媒體（磁帶、光碟、硬碟等） 應設置實體保護。 應設置存取借調之管理機制。 應予以定期盤點。 硬體及系統軟體之購置、使用及維護之控制 系統復原計畫制度及測試程序之控制 資通安全檢查的控制 國際資通安全標準所涵蓋之範圍 行政院所屬各機關資訊安全作業要點 壹、資訊安全政策制定及評估 貳、資訊安全組織及權責 參、人員安全管理及教育訓練 肆、電腦系統安全管理 伍、網路安全管理 陸、系統存取控制 柒、系統發展及維護之安全管理 捌、資訊資產之安全管理 玖、實體及環境安全管理 拾、業務永續運作計畫之規劃及管理 原內控條文與資安控制的差異 一、資訊處理部門之功能及職責劃分 壹、資訊安全政策制定及評估 貳、資訊安全組織及權責 參、人員安全管理及教育訓練 肆、電腦系統安全管理 伍、網路安全管理 陸、系統存取控制 柒、系統發展及維護之安全管理 捌、資訊資產之安全管理 玖、實體及環境安全管理 拾、業務永續運作計畫之規劃及管理 原內控條文與資安控制的差異 七　、檔案及設備之安全控制 壹、資訊安全政策制定及評估 貳、資訊安全組織及權責 參、人員安全管理及教育訓練 肆、電腦系統安全管理 伍、網路安全管理 陸、系統存取控制 柒、系統發展及維護之安全管理 捌、資訊資產之安全管理 玖、實體及環境安全管理 拾、業務永續運作計畫之規劃及管理 應考量列入資通安全檢查之項目 壹、資訊安全政策制定及評估 貳、資訊安全組織及權責 參、人員安全管理及教育訓練 肆、電腦系統安全管理 伍、網路安全管理 陸、系統存取控制 柒、系統發展及維護之安全管理 捌、資訊資產之安全管理 玖、實體及環境安全管理 拾、業務永續運作計畫之規劃及管理 資通安全檢查的控制重點 資通安全檢查的控制重點 資通安全檢查的控制重點 資通安全檢查的控制重點 修訂原先內控以符合資安要求之控制重點 修訂原先內控以符合資安要求之控制重點 修訂原先內控以符合資安要求之控制重點 修訂原先內控以符合資安要求之控制重點 修訂原先內控以符合資安要求之控制重點 修訂原先內控以符合資安要求之控制重點 修訂原先內控以符合資安要求之控制重點 公開資訊申報相關作業 公開資訊申報相關作業之控制重點 增列本項控制作業之重點在於企業如何控制公開資訊「上傳之正確性」，其應注意之控制要點如下： 一、「公開資訊觀測站」申報系統人員之權責劃分 二、「公開資訊觀測站」私密金鑰檔案之控管方式 三、公開資訊資料製作之正確性 四、上傳「公開資訊觀測站」其資訊及附件之正確性 五、上傳資訊錯誤之更正程序 控制重點說明 一、 「公開資訊觀測站」申報系統人員之權責劃分 負責建立系統使用者的權責人員 哪些人員負責執行系統申報 私密金鑰的保管、權限的建立、金鑰密碼的保管是否不為同一人。 異常狀況的處理及聯絡人員 控制重點說明 二、「公開資訊觀測站」私密金鑰檔案之控管方式 私密金鑰及備份磁片的存放及保管 私密金鑰的備份及複製程序 控制重點說明 三、公開資訊資料製作之正確性 公開資訊的製作程序 依據主管機關的標準化格式 非標準